I versjon 1.2 er veiledningsmateriellet oppdatert for å gjenspeile de endringene som ble gjort i eksempler og støtteverktøy i forrige versjon. I tillegg publiseres tre ulike sammendrag av materialet i PDF-versjon: For toppledere, Grunnleggende innføring og Grunnleggende begreper. I tillegg er menyen omstrukturert, med færre menypunkter på øverste nivå, og utdypningene skilt ut i eget punkt.
1 Grunnleggende struktur
- Hovedsiden «Hjem» er forenklet, med fokus på forklaringsmodellen.
- Vestremenyen er omstrukturert og forenklet:
- Det er lagt til et nytt menypunkt – Sammendrag. Her finner du tre ulike PDF-er tilgjengelig for nedlasting:
- For toppledere
- Grunnleggende innføring
- Grunnleggende begreper
- Alle de systematiske aktivitetene er nå samlet som underpunkter under «Systematiske aktiviteter» i menyen
- «Etableringsaktiviteter» er flyttet og plassert etter det nye menypunktet «Systematiske aktiviteter»
- Alle utdypende beskrivelser er samlet under «Utdypninger» i menyen
2 Generelt
- Det er gjennomført profesjonell språkvask på alle hovedbeskrivelser av systematiske aktiviteter og etableringsaktiviteter. Disse tekstene er publisert i ny utgave etter språkvask.
- Alle kortbeskrivelser av delaktiviteter har nå innledningsvis fått en beskrivelse av hvem som normalt vil være ansvarlig for gjennomføring av aktiviteten.
- Begrepet «grunnsikring» er byttet ut med «fellessikring». Innholdet i begrepet i dette veiledningsmateriellet er ikke endret.
- Tidligere har begrepene «permanente tiltak» og «varige tiltak» brukt om hverandre. Det er nå endret slik at kun «varige tiltak» benyttes, for å forhindre uklarheter.
- Det samme gjelder «uheldige sideeffekter» og «negative sideeffekter». Nå brukes gjennomgående «negative sideeffekter». Dette medfører at trinnet under Foreslå håndtering av risikoer som tidligere het Vurdere risikoreduserende effekt, kostnad og uheldige sideeffekter nå heter Vurdere risikoreduserende effekt, kostnad og negative sideeffekter.
- Henvisninger til «retningslinje for internkontroll informasjonssikkerhet» er endret til «retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet».
3 Maler og eksempler
- [EKSEMPEL] Retningslinje Aktiviteter og ansvar - internkontroll informasjonssikkerhet: «Uheldige sideeffekter» et sted i teksten er endret til «negative sideeffekter».
- [EKSEMPEL] Retningslinje Vurdere behov for risikovurderinger: Teksten er oppdatert for å omfatte hele aktiviteten Få oversikt og prioritere.
- [MAL] Fellessikring - støtteskjema (xlsx): ny mal til bruk ved etablering av fellessikring.
- Tre presentasjoner, som kan brukes og tilpasses fritt, er lagt ut:
- Foredrag for toppledergruppen
- Innledning og oversikt – Få oversikt og prioritere før risikovurderinger
- Fellessikring.
4 Systematiske aktiviteter
- Alle systematiske aktiviteter, bortsett fra Ledelsens styring og oppfølging, har fått et nytt avsnitt i innledningen, der de ulike delaktivitetene listes opp sortert på hvem som er ansvarlig for å gjennomføre dem.
4.1 Ledelsens styring og oppfølging
- Vi har gjort mindre presiseringer i aktiviteten Virksomhetsledelsens gjennomgang, blant annet er formålet med gjennomgangen presisert. Teksten er samkjørt med sammendraget i «Grunnleggende innføring».
4.2 Risikovurdering
- Innledningen «Hva er risiko» er omskrevet og presisert.
- Delaktivitetene Foranalyse av ansvarsområde, Taktisk oppdeling og gruppering og Vurdere behov for risikovurderinger er slått sammen til en delaktivitet Få oversikt og prioritere, der de tre tidligere aktivitetene inngår som trinn. Teksten er omarbeidet. Taktisk oppdeling og gruppering har endret navn til Gruppere og dele opp. Et nytt trinn Holde oversikt over gjennomførte risikovurderinger er lagt til.
- Analysere eksterne krav: Mindre endringer i teksten.
- Planlegge risikovurdering: Det er lagt til informasjon om hvilke tema som er typisk i planleggingen
- Gjennomføre risikovurdering: Teksten er helt omskrevet, til å i større grad enn tidligere beskrive hvordan en risikovurdering gjennomføres.
- Risikovurdere i hendelseshåndteringen og Risikovurdere ved anskaffelser og utvikling: Mindre justeringer i teksten.
4.3 Risikohåndtering
- Presisering under Iverksette godkjente tiltak: Risikoeier kan selv være håndteringsansvarlig ved enkle tiltak
- Ellers mindre forbedringer av teksten.
4.4 Overvåking og hendelseshåndtering
- Tekstlige forbedringer i innledningen og Rapportere hendelser, avvik og informasjonssikkerhetsbrudd.
- Fjernet eksempler på tekniske og organisatoriske tiltak som bør vurderes med hendelser, og erstattet dem med to nye punktlister:
- Aktuelle responser til hendelser
- Eksempler på oppfølging av hendelser
- Mindre tekstlige endringer og presiseringer
4.5 Måling, evaluering og revisjon
- Begrepsbeskrivelsene av måling og undersøkelser er flyttet til begrepslisten.
- Begrepsbeskrivelsene av evaluering og revisjon er flettet sammen med de eksisterende beskrivelsene i begrepslisten, og fjernet herfra.
- Lagt til noen presiseringer av hva aktiviteten handler om in innledningen
- Lagt inn punkter om hva man bør gjøre en vurdering av og hva som kan være grunnlag for vurderingen i aktiviteten Vurdere status på eget ansvarsområde
- Lagt inn eksempler på hva en evaluering kan være i aktiviteten Gjennomføre evalueringer
- Mindre endringer i teksten i Gjennomføre evalueringer
4.6 Kompetanse- og kulturutvikling
- I innledningen: Lagt inn tekst om at kompetanse og kultur er en avgjørende del av internkontrollen, og lagt til underoverskrifter
- Lagt inn hva slags behov for kompetanseheving/kulturutvikling som er relevant
- Lagt inn at det også er mindre formelle kilder som kan bidra til identifisering av behov
- Endret begrepet «lokal pådriver innen informasjonssikkerhet» til «lokal sikkerhetskoordinator»
- Endret navn på aktiviteten «Oppfølging av lokale pådrivere innen informasjonssikkerhet» til «Følge opp lokale sikkerhetskoordinatorer»
- Lagt inn mål for samlinger med lokale sikkerhetskoordinatorer
4.7 Kommunikasjon
- Lagt til tekst om kilder til saksnotat i Utarbeide saksnotat til virksomhetsledelsens gjennomgang, samt liste over hva notatet alltid bør inneholde
- Ny delaktivitet «Kommunikasjon mellom aktiviteter og aktører» som hovedsakelig består av tekst fra tidligere delaktiviteter, som nå er tatt ut:
- Rapportere til oppdragsgiver
- Kommunikasjon i hendelseshåndteringen
- Uformell kommunikasjon
- Ny delaktivitet «Ekstern kommunikasjon». Teksten i denne versjonen er foreløpig identisk med teksten i «Grunnleggende innføring Internkontroll Informasjonssikkerhet» (Sammendrag).
- Mindre tekstlige endringer/presiseringer
5 Etableringsaktiviteter
5.1 Generelt
- Etableringsaktivitetene er nå gruppert i fire ulike seksjoner:
- Avklare behov og lage en plan
- Få på plass det viktigste
- Skap en god plattform for internkontrollen
- Lag et godt grunnlag for systematiske aktiviteter
- Som følge av dette er rekkefølgen på aktivitetene noe endret.
- Tekstene er omarbeidet og forbedret i forbindelse med arbeidet med «Grunnleggende innføring». Beskrivelsene av etableringsaktivitetene er i stor grad identiske i «Grunnleggende innføring» og på «Etableringsaktiviteter»-siden. Det er kun enkelte delaktiviteter som har litt ytterligere informasjon på nettsiden.
5.2 Analysere status på internkontrollområdet informasjonssikkerhet
- Veiledningsteksten har fått noen presiseringer. I tillegg lenkes det nå fra veiledningsteksten direkte til både støtteskjema for analysen og støttearket med kort oversikt over anbefalte delaktiviteter og aktuelle dokumenter.
- Støtteskjemaet «Analyse av status» er litt omstrukturert for å gi bedre støtte til gjennomføring av en god analyse. Vesentlige endringer:1) Statusvurdering av etableringsaktivitetene er flyttet nederst i skjemaet etter statusvurdering av alle de systematiske aktivitetene; 2) Det er lagt til en kolonne for prioritet og en for ressursbehov.
- Det er gjort noen justeringer i støttearket med kort oversikt over anbefalte delaktiviteter og aktuelle dokumenter, hovedsakelig for å understøtte strukturendringen i støtteskjemaet nevnt over.
- Både støtteskjemaet og støttearket er oppdatert med justeringer av delaktiviteter under Etableringsaktiviteter og Kommunikasjon.
5.3 Ny delaktivitet - Få på plass nøkkelpersoner og aktivere sikkerhetsorganisasjonen
- Aktiviteten handler om at man må få på plass den organisasjonen man beskriver i de føringer/retningslinjer som er utarbeidet.
5.4 Identifisere typiske oppgave- og informasjonstyper
- Har endret navn fra Felles identifisering av typiske oppgave- og informasjonstyper
- Aktiviteten er justert til å heller ha et fokus på å samle resultatene fra gjennomføringen av Få oversikt og prioritere under Risikovurdering på ulike områder i virksomheten, istedenfor å være en samlet oppgave man gjennomfører i forkant som foranalysene skal bygge på. Dette anses å være en mer hensiktsmessig og praktisk rekkefølge for gjennomføring av aktivitetene.
6 Utdypninger
6.1 Planlegge internkontroll
- Denne utdypningssiden er fjernet, siden vi ikke mener den gir noen merverdi utover beskrivelsen av aktiviteten Ledelsens styring og oppfølging.
6.2 Overordnede styrende dokumenter
- Vi arbeider for tiden med en revisjon av utdypningstekstene for overordnede styrende dokumenter, basert på arbeid som ble gjort i løpet av 2016 rundt eksemplene og kurs som ble avholdt. Disse sidene er derfor midlertidig fjernet, og vil komme tilbake med helt nytt innhold i neste versjon av veiledningsmateriellet.
6.3 Utdypning - Etablere fellessikring og synliggjøre tilleggssikring
- Utdypningsteksten er utvidet og forbedret
- Nytt støtteskjema som kan benyttes i arbeidet
- En presentasjon om fellessikring som kan benyttes i arbeidet
7 Godt å vite
7.1 Risikohåndtering
- «Sikkerhetstiltak» er utvidet og forbedret.
- «Grunnsikring og tilleggssikring» endret til «Fellessikring og tilleggssikring», og teksten er utvidet og forbedret.
- «Tiltaksbanker»: Omtale av ISO 27001 og ISO 27002 er endret slik at den er i tråd med anbefalingene i referansekatalogen. Anbefalinger fra NSM er lagt til.
8 Nyttig
8.1 Hva sier ISO/IEC 27001?
- Innledningen er noe skrevet om
- Henvisning til avtalen Difi tidligere hadde med Standard Norge om frikjøp av enkelte standarder er fjernet
8.2 Hva sier andre?
- Helsedirektoratet er endret til Direktoratet for e-helse
- Linker er oppdatert
8.3 Kilder
- Lagt til kommuneloven og regelverket for økonomistyring i staten i listen over norske lover, forskrifter og instrukser vi har benyttet som kilder.